Blog Laboratorio Hispasec

Dentro del contexto del Congreso de Seguridad Informática Rooted CON, que tendrá lugar en Madrid del 18 al 20 de marzo 2010, nuestro compañero Ero Carrera impartirá un taller muy especial sobre el malware.

Está orientado a aquellos profesionales que quieran conocer las últimas técnicas utilizadas por los creadores de malware y cómo poder analizar malware. Para ello, durante este curso se realizarán, durante todo el día, prácticas con malware real que está siendo explotado hoy en día en Internet. Se verán casos de virus, de gusanos y de troyanos bancarios dirigidos al robo de credenciales.

Ero Carrera es actualmente "Chief Research Officer of Collaborative Security" en VirusTotal. Al margen de este título que apenas cabe en su tarjeta de visita, es un excelente comunicador con grandes conocimientos sobre el malware con el que siempre resulta agradable compartir información.

Toda la información sobre la conferencia está disponible en:
http://www.rootedcon.es/

Para apuntarse a este taller (que será el 16 de marzo) u otros, es posible hacerlo desde
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers

Estoy teniendo mucho feedback sobre Rumorología Antivirus, con reacciones de todo tipo. La mayoría de la gente se centra en el hecho de la copia, aunque desde mi punto de vista lo más preocupante es la reproducción de errores y como impacta en los falsos positivos. Como al final un software legítimo puede convertirse en un malware a ojos de terceros al reproducirse el error, aquello de "una mentira repetida mil veces se convierte en una realidad".

Casualidades de la vida, ayer sufrimos en carnes propias un caso de falso positivo con nuestro VirusTotal Uploader, que fue detectado por Symantec. El falso positivo ha sido corregido en cuestión de horas, es lo bueno que tiene tener contactos en todos los laboratorios AV, pero lo curioso de nuevo es ver el historial de detecciones y como "concuerdan" algunas nomenclaturas de diferentes motores.

En el año 2007 VBA32 tuvo un falso positivo detectándolo como "AdWare.Win32.BetterInternet.amw" que corregiría más tarde, es la primera referencia que tenemos de que fuera detectado con una firma específica como "Adware BetterInternet".

Este año fue detectado por dos motores más, pero por heurísticas, así que en principio no parece guardar relación alguna con aquella detección del 2007. Primero fue Webwasher-Gateway detectándolo como "BlockReason.0" el 2009/01/14, y más tarde Panda durante algo más de un mes, del 2009/09/04 hasta 2009/10/15 como "Suspicios file".

En 2009/10/17 TheHacker lo detecta como "Adware/BetterInternet.aoh", el 2009/10/21 Symantec como "Adware.BetterInternet".

El caso de Symantec, al ser un antivirus más extendido, si nos ha impactado más, en el sentido de que hemos recibido comentarios de usuarios avisando del tema (afortunadamente los usuarios de VirusTotal Uploader saben diferenciar un falso positivo, así que nadie nos ha acusado de haberles instalado un adware). Tras avisar a técnicos de TheHacker y Symantec ha sido cuestión de horas, a la siguiente actualización estaba corregido. Gracias Melissa y Mike.

Aunque el falso positivo de TheHacker no nos impactaba especialmente he preferido que se corrigieran ambos, por si en algo tiene que ver el efecto "rumorología". Así que mi consejo a los desarrolladores de software es que avisen de cualquier falso positivo, aunque sea en un motor antivirus menos popular, para prevenir males mayores.

Pregunta al aire, por curiosidad, ¿alguien conoce algún caso de desarrollador de software que haya denunciado a un antivirus por el impacto en el negocio o imagen que le ha provocado un falso positivo? ¿hay posibilidad o legalmente tienen las espaldas cubiertas los antivirus?. A nosotros de vez en cuando nos llega alguna que otra amenaza del departamento legal de turno, y mira que sólo visualizamos los resultados :)

Presentación en la pasada SOURCE Barcelona 2009 donde se cruza la visión del malware que tienen en Mandiant de la mano de Peter Silberman, con lo que vemos en VirusTotal representados por Ero Carrera.

Mientras que en VirusTotal recibimos cantidades industriales de malware de todo tipo y tenemos una imagen global de lo que se cuece, Mandiant tiene una visión más cerrada y especializada en el malware dirigido a las principales empresas del Fortune 500 y grandes corporaciones, de forma que ha sido un ejercicio interesante cruzar datos.

PDF (15,7MB)

Acabamos de incluir los resultados del Sigcheck de Microsoft a los informes generados en VirusTotal. Es una herramienta muy interesante que muestra información variada sobre archivos (versiones, etc.) pero especialmente por la información que muestra sobre el certificado digital que pueda tener. Queremos agradecer a la gente de Microsoft (especialmente a Mark Russinovich) el permiso que nos han dado para utilizarla en VT.

Adelantamos por aquí, en el blog, una nueva versión de VirusTotal Uploader, la pequeña utilidad que permitía enviar archivos a VirusTotal con el botón derecho del ratón, a través del menú contextual de Windows.

Respecto a la primera versión hay varias novedades:

• Antes de enviar un archivo se calcula el hash y se consulta a VirusTotal por si ya existe un análisis anterior de ese mismo archivo, permitiendo tener un informe inmediato y ahorrar tiempo en la subida.
  
  
• Permite listar los procesos en memoria, seleccionar cualquiera y enviar su ejecutable asociado a VirusTotal.
  
  
• Soporte de URLs. Indicas una URL que apunte a un fichero, realiza la descarga, y se analiza con VirusTotal.
  

Esta última da respuesta una demanda popular masiva. Continuamente, y casi desde que VirusTotal salió a la luz, se nos pide la posibilidad de soportar URLs para analizar ficheros hospedados en la web. La verdad es que no tiene mucha ciencia, pero siempre hemos tenido reticencias (aka paranoias de quién escribe) por lo fácil que resulta dar gato por liebre en este tipo de servicios. Me explico: un web malicioso podría dar un fichero distinto en función de la IP que lo visita (u otro dato característico), así para una misma URL podría dar un fichero limpio en caso de detectar que es VirusTotal quién lo pide, y un fichero infectado cuando lo haga el usuario. Por supuesto para eso están los hashes que incluimos en los informes de VirusTotal, para que el usuario compruebe que lo que se ha analizado en nuestro servicio es exactamente lo que el usuario tendría en su ordenador. ¿Pero cuantos usuarios harían esa comprobación? Nuestras previsiones son pesimistas.

Hemos barajado rotar con diferentes proxys, utilizar redes de anonimato, etc. para tener una identidad pseudoaleatoria a la hora de descargar los archivos, pero ninguna opción nos satisface por una u otra causa. Si tienes alguna idea estrambótica o simplemente genial, dispara, somos todo oidos :)

En VirusTotal Uploader 2 se incluye la opción de analizar URLs evitando ese escenario que nos preocupaba. Lo que hacemos es utilizar la herramienta como una especie de proxy asíncrono, que descarga y sube el archivo, así que para la hipotética web maliciosa quién está descargando el fichero es un usuario final. Esta es la razón por la que podéis encontrar el botón Options para escoger la posibilidad de utilizar esta herramienta como una especie de gestor de descargas seguro, indicando un directorio donde podrías encontrar a posteriori el archivo analizado. Por defecto, como podéis ver en ese apartado, la descarga y subida se haría sin escribir el fichero en disco, para los más paranoicos o para evitar "interferencias" con el AV residente que tengan instalado.

Lo de "¿beta?" es porque realmente lo es, acaba de salir el ejecutable del horno y estamos probando en busca de fallos, pero podría ser la definitiva de aquí a unos días si no encontramos nada raro. Por ello la publicamos aquí primero en el blog, para los que queráis echarle un ojo testándola y avisarnos de los bugs. Cualquier feedback es bienvenido, gracias!

Decarga de VirusTotal Uploader 2: VTUploader2.0Setup.exe (129 KB)

pd: para aquellos que sientan la irrefrenable tentación de enviar el .exe a VirusTotal, se pueden encontrar con un falso positivo de McAfee que suponemos corregirán de inmediato.

Hemos publicado unos documentos técnicos (White Papers) sobre una reciente vulnerabilidad en Asterisk sobre la que ha estado investigando nuestro compañero Hugo. Permite provocar una denegación de servicio sin necesidad de autenticarse.

Están disponibles (en inglés y español) desde www.hispasec.com en el apartado de Noticias Corporativas.